Please enable JavaScript.

Coggle requires JavaScript to display documents.

SEMANA 2 - UNIDAD 1, Nombre: Carlos Esteban Freire Yánez, ID Banner:…

- - - - 1. Descomponer la aplicación.
        2. Determinar las amenazas.
        3. Determinar mitigaciones.
        4. Clasificar las amenazas.
        
        Evaluación de Madurez de Ciberseguridad
        
        Permite a las empresas comprender el nivel de riesgo frente a las amenazas de seguridad de información.
      - Amenazas
        
        A la información
        
        Datos en tránsito: Son modificados por ataques de hombre en el medio, afectando la integridad.
        
        Datos en uso: Se eliminan aprovechando una vulnerabilidad de TOC/TOU o condición de carrera, afectando la disponibilidad.
        
        Datos en reposo: Son copiados en una USB y son entregados sin autorización, afectando la confidencialidad.
        
        A las personas
        
        Redes sociales: Proporciona información a los atacantes para chantajear o crear enlaces falsos.
        
        Contraseñas: Contraseñas débiles pueden ser descifradas con facilidad. No utilizar la misma contraseña en todos los sitos.
        
        Ingeniería social: Interacción humana o emails para violar la política de seguridad.
      - ISOs
        
        ISO 31000
        
        Principios y directrices de la gestión de cualquier tipo de riesgos. No está diseñado para certificación.
        
        ISO/IEC 27005:2011
        
        Responde al por qué y qué de la gestión de riesgos en seguridad de la información, de acuerdo al contexto de la organzación.
      - Actividades de la Evaluación de riesgo
        
        1. Comprensión de la Organización.
        2. Analizar el sistema existente.
        3. Política de Seguridad.
        4. Selección del enfoque de Ev. Riesgo.
        5. Selección metodología de Ev. Riesgo.
        6. Identificación del riesgo.
        7. Análisis de riesgos.
        8. Estimación de riesgo.
        9. Tratamiento del rieso.
        10. Aceptación de riesgos.
        11. Declaración de aplicabilidad.
        11. Implementación del SGSI.
        
        Tratamiento de riesgos
        
        Modificación del riesgo.
        
        Retención de riesgos.
        
        Evitar los riesgos.
        
        Distribución del riesgo.
        
        Evaluación del riesgo residual
        
        Riesgo Inherente
        
        Todos los riesgos sin tener controles.
        
        Riesgo tratado
        
        Riesgo eliminado con controles.
        
        Riesgo Residual
        
        Riesgo remanente tras el tratamiento del riesgo.
        
        Aceptación del riesgo
        
        Dirección debe estar consciente para aceptarlos. Los criterios de aceptación pueden ser más complejos. A veces, dichos criterios son insuficientes y deben revisarse.
      - Enfoques
        
        Cuantitativo
        
        Escala con valores numéricos para la consecuencia y la probabilidad. Uso de matemáticas. Datos objetivos. Unidades monetarias. Juicio de expertos para estimar el riesgo.
        
        Iterativo
        
        Evaluación de riesgo de alto nivel para identificarlos para un análisis más detallado. Luego revisión de los riesgos altos descubiertos e integrar la cuantificación de riesgos.
        
        Cualitativo
        
        Escala de atributos de clasificación para describir la magnitud de las posibles consecuencias y su probabilidad. Escenarios de riesgo. Datos subjetivos. Escala gradual. Percepción del riesgo.
      - Metodologías de gestión de riesgos
        
        TRA
        
        Metodología emitida bajo la autoridad del Jefe del Órgano de Seguridad de las Comunicaciones de Canadá y el Comisionado de la Real Policía Montada de Canadá.
        
        NIST 800-30
        
        Gestión de riesgos para Sistemas de TI desarrollada para la administración de los EEUU.
        
        MICROSOFT
        
        La evaluación de riesgos, apoyo a la decisión, el establecimiento de controles, medición de la eficiencia del programa.
        
        EBIOS
        
        El estudio del contexto, definiendo las necesidades de seguridad, el estudio de amenazas y la identificación de los objetivos de la seguridad y la determinación de los requisitos de seguridad.
        
        CRAMM
        
        La definición de los activos que están en riesgo, análisis de riesgo y vulnerabilidad, identificación y selección de controles de seguridad.
        
        MEHARI
        
        El análisis y clasificación de los activos críticos, el diagnóstico de servicios de seguridad, análisis de riesgos y la definición de los planes de seguridad.
        
        OCTAVE
        
        Perfil de necesidades de seguridad, el estudio de las vulnerabilidades, estrategia de desarrollo y plan de seguridad.
        
        MAGERIT
        
        Elaborada por el Consejo Superior de Administración Electrónica que estima que la gestión de los riesgos es una piedra angular en las guías de buen gobierno.